sk 쉴더스 클라우드 보안 가이드를 기준으로 취약점을 진단 후 조치 내역 정리
1. 계정
- IAM 사용자 계정 관리 시 태그 사용
- MFA
2. 권한
- 인프라 담당자, 개발 담당자 계정에 설정 되어 있는 AdministratorAccess를 제거
- 각 담당에 맞는 정책 생성 후 설정
3. 리소스
- 보안그룹 인/아웃 바운드 포트에 대한 설정을 서비스에 맞게 수정
→ 프론트엔드 보안 그룹 : 인바운드 규칙 내 ICMP, SSH 프로토콜 규칙을 삭제
→ 백엔드 보안 그룹 : 인바운드 규칙 내 TCP 3306 포트 규칙을 삭제
→ 베스천 호스트 보안 그룹 : 인바운드 규칙 내 TCP 3306 프로토콜 규칙을 삭제
- 보안그룹 인/아웃 바운드 대상에 0.0.0.0/0 설정을 서비스에 맞게 수정
→ 프론트엔드 보안 그룹 : 인바운드 22 포트는 “Infra 담당자, 개발 담당자” IP만 허용
→ 백엔드 보안 그룹 : 인바운드 22 포트는 “Infra 담당자, 개발 담당자” IP만 허용, 5000 포트는 프론트 사설IP만 허용
→ 베스천 호스트 보안 그룹 : 인바운드 22, 3389 포트는 “Infra 담당자, 개발 담당자” IP만 허용
4. 운영
- WAF 설정
- Route 53을 이용해 "취지직.com" 도메인 생성
- KMS 사용해서 EBS, 볼륨 암호화 설정, 로그 암호화
- Cloud Watch, Cloud Trail 서비스 사용
- VPC 플로우 로그 설정
- Lambda 사용해서 수집한 로그 S3에 백업 관리
'rookies > 최종 프로젝트' 카테고리의 다른 글
| 최종 프로젝트 - 서버 설정 (0) | 2024.03.20 |
|---|---|
| 최종 프로젝트 - 인프라 구성 (0) | 2024.03.20 |
